Электронный журнал "Спамтест" No. 410 в этом номере: Новости Записки спаманалитиков Спам в Рунете: 6 – 12 февраля 2012  г. Новости MS: юзеров надо учить защищаться от обманщиков Как показал опрос, проведенный Microsoft в 27 странах, включая Россию, основная масса пользователей овладела базовыми навыками самозащиты от интернет-угроз, в которых используются технические трюки, но плохо знает, как оградить себя от кибератак, использующих методы социальной инженерии. Оценка осведомленности пользователей о проблеме онлайн-безопасности производилась с помощью накопительной системы индексации компьютерной защищенности ― MCSI. Каждому участнику опроса начислялись баллы за осмотрительность и активное применение профилактических мер, которые затем суммировались. Предельное значение MCSI составляет 100 баллов. В опросе приняли участие 11 тыс. пользователей от 14 до 60 лет и более, проживающих в Западной Европе, а также в Израиле, России, Литве, на Украине, в Казахстане и Бразилии. Согласно итогам опроса, в настоящее время средний показатель грамотности по всем представленным странам составляет 44 балла, что означает: базовые знания есть, но почивать на лаврах рано. Выше среднего индекс у молодежи, мужчин (за счет освоения технических средств защиты) и бездетных (заботятся о своей онлайн-репутации и используют псевдонимы). В целом по выборке 85% респондентов указали, что используют антивирус, хотя аналогичную защиту на мобильных устройствах установили лишь 18%. 57% опрошенных регулярно обновляют наличный софт, половина активировали брандмауэр, 61% усилили пароли, 51% проводят транзакции только на благонадежных сайтах. В то же время лишь 29% участников опроса отметили, что используют антифишинговые и браузерные фильтры, а 39% вообще не принимают никаких мер, чтобы предотвратить хищение денежных средств и персональных данных. Единственный инструмент защиты от identity theft, который пользуется популярностью, ― это опция смены уровня конфиденциальности в социальных сетях, позволяющая ограничить информацию, доступную через интернет. Ее освоили примерно половина пользователей, да и то, в основном, подростки и те, кому еще нет 30-ти. Эти же возрастные группы активно используют ники, сложные пароли и контролируют объем личных данных в Сети с помощью поисковых систем. Исследование также показало, что 80% подростков заходят в интернет из тех мест, где родители не могут их контролировать. Согласно приведенной выше статистике, они быстрее взрослых осваивают меры предосторожности, посему просвещение подрастающего поколения в отношении онлайн-безопасности ― занятие не только важное, но и весьма благодарное. Источник: microsoft.com Источник: microsoft.com M86 об экспансии вредоносных рассылок По данным M86 Security, во второй половине минувшего года потоки спама продолжали снижаться и в декабре побили 4-летний рекорд. В этом месяце мусорные сообщения составляли около 70% почтовой корреспонденции. Однако вклад вредоносных писем в спам-трафик за полгода увеличился в 5 раз и на пике достигал 20%. В тематическом составе спама преобладала реклама фармацевтических изделий (47% от общего количества). Спамеры также активно продвигали поддельные предметы роскоши (13%), веб-сайты знакомств (12,5%) и онлайн-казино (12%). Доля URL-спама с укороченными ссылками колебалась в пределах 10%, причем для их генерации спамеры предпочитали использовать малоизвестные или собственные сервисы. 90% нелегитимных писем распространялись с 8-ми хорошо известных ботнетов. Вклад Festi в спам-трафик заметно увеличился, обеспечив ему место лидера в декабрьском рейтинге (более 20%). Почти столько же пришлось на долю Lethic; боты Cutwail разных версий совокупно генерировали около 18% спама. Выход с Grum и Donbot оказался несколько скромнее ― примерно по 15%. Xarvester и Maazben по непонятным причинам выбыли из списка лидеров, первый ― в августе, второй в октябре. Спам-рассылки с Cutwail, Festi и Asprox зачастую были нацелены на распространение зловредов. В конце года вредоносные письма составляли 5-10% мусорной корреспонденции. Пик зловредных рассылок пришелся на август и сентябрь, когда эксперты фиксировали мощные всплески спама с вложениями. Их содержимым в большинстве случаев являлся тот или иной троянский даунлоудер. В ноябре произошел заметный сдвиг в предпочтениях спамеров: используя те же шаблоны, они стали заменять вредоносные аттачи ссылками на набор эксплойтов, доступный через редирект. Последние, как правило, размещались на взломанных легитимных ресурсах. Среди эксплойт-китов безусловным лидером по частоте использования является Blackhole, на долю которого во втором полугодии приходилось 95,1% URL-спама. Его авторы стали чаще выпускать обновления, добавляя в комплект новые эксплойты и средства самозащиты ― например, проверку версии атакуемого приложения. По данным M86 Security, все усовершенствования Blackhole проходят первичную обкатку в России и Румынии. Зловредный контент, обнаруженный M86 на веб-сайтах в отчетный период, был нацелен на 50 с лишним уязвимостей в разном ПО. Среди последних преобладали известные, уже закрытые бреши в IE, Java, Acrobat Reader, Flash и Microsoft Office. Больше половины из них в настоящее время использует Blackhole. Почти половина зловредного контента было обнаружено на территории США (49,2% страниц). Второе место по этому показателю занимает Россия (6,0%), причем 63% зараженных страниц, размещенных в этой стране, приходятся на Москву и Подмосковье. Немногим лучше обстановка в Германии (5,9%), Китае (4,5%) и Южной Корее (4,1%). На китайском веб-хостинге преобладают единичные эксплойты ― в основном, против уязвимостей в IE версии 6, столь популярной у местных пользователей, число коих уже превысило (pdf) 500 млн. Источник: labs.m86security.com Источник: m86security.com Мурманчанина накажут за неправильный маркетинг УФАС по Мурманской области признало противозаконным способ распространения коммерческой рекламы, избранный местным предпринимателем. Расследование было начато полицейскими по жалобе жителя областного центра, получившего на электронный ящик предложение услуг по ремонту компьютерной техники. Как показала проверка, отправитель распространял аналогичные сообщения по базе из 500 адресов, которую позаимствовал с прежнего места работы. По его словам, он пытался таким образом определить перспективы мурманского рынка для своей компании. Материалы проверки были переданы в местное УФАС, которое подтвердило, что разосланные сообщения имеют все юридические признаки рекламы. Однако, поскольку их автор не смог доказать, что заручился согласием адресатов на рассылку, его реклама была признана ненадлежащей. Как известно, федеральный закон «О рекламе» запрещает проводить коммерческие рассылки без предварительного согласия получателей. Мера пресечения спамеру пока не определена. Источник: rg.ru ---------------- Банковский кредит оказался мифом Омская предпринимательница выслала частному лицу 12 тыс. фунтов стерлингов (около 19 тыс. долл.) для получения кредита в «британском банке», но денег так и не дождалась. В ноябре прошлого года директор одной из омских компаний нашла в интернете объявление о том, что один из банков Великобритании якобы предоставляет кредиты на выгодных условиях – под 2% годовых. Бизнес-леди связалась с представителем компании Weller Finance Ltd., назвавшимся Шарлоттой Шваббе, и заключила кредитный договор на сумму 670 тыс. фунтов стерлингов (свыше 1 млн. долл.) сроком на 10 лет. Как выяснилось, для получения денег нужно перевести 12 тыс. фунтов на имя некой Аманды Джоанс, что омичка и сделала. В оговоренные сроки деньги на счет получателя кредита не поступили. 20 января «Шарлотта Шваббе» прислала электронное уведомление о том, что банк разорился и все деньги направлены в Международный валютный фонд. Чтобы выручить свой кредит, получателю предлагалось выслать еще 20 тыс. фунтов. На сей раз омичка ответила отказом и обратилась в полицию. По факту мошенничества начато расследование. Жертва обмана оценила свои потери в 497 тыс. руб. Источник: eval.symantec.com [PDF 4,29 Мб] Троянский «антивирус» для подписчиков Stratfor Microsoft обнаружила спам-рассылку, нацеленную на распространение ZeuS под видом антивируса от Stratfor ― компании, занимающейся геополитическими исследованиями. Зловредные сообщения снабжены вложенным pdf-файлом, содержащим обращение к безликому читателю Stratfor.com, написанное от имени администрации компании. Фальшивка предупреждает получателя о возможных утечках в связи с недавним взломом веб-сайта и цинично советует не открывать подозрительные письма с вложениями и проверять всю почту антивирусом. Подписчику Stratfor также сообщают о (мнимом) заражении Stratfor.com и настоятельно советуют скачать антивирусный сканер с указанного адреса, чтобы проверить компьютер на наличие некоего вируса Win32Azee. По свидетельству экспертов, URL, приведенный злоумышленниками, выглядит вполне невинно и содержит доменное имя Stratfor.com. При активации этой ссылки на экран выводится стандартный запрос Adobe Reader на подтверждение загрузки, однако адрес, указанный в этом окне, не соответствует заявленному в pdf-документе. Целевой контент был опознан Microsoft как один из вариантов ZeuS. Как удалось установить, вредоносные загрузки осуществляются с взломанных сайтов, размещенных в разных странах, в том числе в Турции и Польше. Источник: blogs.technet.com Записки спам-аналитиков: «Купонная» валентинка Мария Наместникова, "Лаборатория Касперского" День святого Валентина из года в год становится информационным поводом для спамеров, хотя рассылки, эксплуатирующие тему этого праздника, не столь многочисленны, как новогодние и рождественские. В этом году в предпраздничную неделю доля «валентинова» спама составила 0,3% от всего спама. Первый «валентинов» спам мы зафиксировали еще 14 января, за месяц до праздника. Эта рассылка показалась нам необычной. Как и большинство рассылок, эксплуатирующих День святого Валентина, эта рассылка была англоязычной. Напомним, что англоязычный спам в подавляющем большинстве случаев распространяется в ходе работы партнерских программ. (Популярный во многих странах спам, заказанный малым и средним бизнесом или разосланный такими организациями самостоятельно, не популярен в США и большинстве стран Западной Европы, поэтому среди англоязычных писем практически не встречается.) Однако первый «валентинов» спам не имел никакого отношения к партнерским программам. Предложение подарков на День святого Валентина эксплуатировало тему купонных сервисов. Пользователям предлагалось купить небольшие подарки любимым на День святого Валентина, воспользовавшись скидкой, которую компания предлагает через крупный купонный сервис Groupon. Купонные сервисы пользуются огромным спросом во всем мире. Ежедневно на разных сайтах, торгующих скидками, появляется от двух – трех до нескольких десятков предложений, воспользовавшись которыми пользователи могут получить какой-либо товар или услугу со значительной скидкой. Помимо того, что Groupon является крупным интернет-проектом, и проводимые им акции легко можно найти в интернете, этот сайт еще и оповещает своих подписчиков о новых предложениях через электронную почту. Таким образом, компания, разославшая первый «валентинов» спам, зарегистрированный «Лабораторией Касперского», использовала и рекламу на крупном портале, и легитимную почтовую рекламную кампанию Groupon, и спам-рекламу. Мы уже отмечали, что для маленьких компаний купонные сервисы становятся реальной альтернативой спам-рекламе. Судите сами: путь распространения рекламы тот же – через электронную почту, но спам-фильтры не блокируют легитимную рассылку от крупного интернет-ресурса. Еще одно важное преимущество: фирма, чьи услуги предлагает купонный сервис, не нарушает законодательства, используя такой метод раскрутки. Объемы рассылок купонных сервисов могут быть меньше, чем объем спамерской рассылки, которую могла бы заказать та же самая компания однако легитимная рассылка проводится только в соответствующем регионе, а пользователи, получающие ее, реально заинтересованы в выгодных предложениях, размещаемых на купонных сервисах. Следовательно, целевая легитимная рассылка может быть более эффективной, чем «ковровая бомбардировка» спамом. Купонные сервисы заметно повлияли на почтовый трафик и интернет-рекламу. Отметились они и в спаме. Есть несколько категорий спама, который связан с купонными сервисами. Первый – это незапрошенные рассылки самих сервисов. Такой спам встречается редко – серьезные компании не хотят запятнать свою репутацию, «засветившись» в спаме. Однако практика показывает, что стартапы, появляющиеся в этой области, иногда не брезгуют и спамом, чтобы привлечь как подписчиков, так и компании, готовые размещать свои предложения на их площадках. Другой «купонный» спам – это спам, в котором слово «купоны» заменяет слово «скидки» и используется для привлечения внимания пользователей к товарам или услугам. При этом в рассылке могут предлагаться «купоны» на самые неожиданные товары. Например, спамеры распространяющие фармацевтические рассылки, не гнушаются сулить пользователям небольшие скидки на медикаменты, выдавая их за купоны. К третьему виду купонного спама можно отнести и нашу спамерскую «валентинку». Компания, чье предложение размещено на купонном сервисе, через спам пытается охватить еще большую аудиторию. На мой взгляд, это довольно странный прием – уже не раз говорилось, что для большинства пользователей спам имеет негативную окраску, и реклама в спаме не лучшим образом влияет на репутацию рекламируемой фирмы. В то же время многие купонные сервисы пользуются доверием пользователей. Таким образом, спам может нивелировать эффект от акции на купонном сервисе, а не увеличить его. Потенциально популярность купонных сервисов таит в себе определенную угрозу. На купонном сервисе пользователи зачастую держат на своих «счетах» денежные средства, чтобы иметь возможность в любой момент потратить их на понравившуюся акцию. Хотя деньги, хранящиеся на таких «счетах, не так уж и велики, не стоит исключать возможности фишинговых атак на клиентов купонных сервисов. Чтобы не «помогать» спамерам или не стать жертвой фишинговой атаки, эксплуатирующей тему купонных сервисов, пользователи должны соблюдать три простых правила: Не открывайте письма от купонных сервисов, на которых вы не зарегистрированы. С одной стороны,это обезопасит вас от фишинговых атак или рассылок вредоносного кода. С другой стороны, если спамерское письмо окажется простым коммерческим предложением, вы уменьшите на него отклик, тем самым сделав «работу» спамеров менее выгодной. Если в письме от купонного сервиса, на котором вы зарегистрированы, вас просят верифицировать ваш акаунт, пройдя по ссылке, или иным образом предоставить ваш логин и пароль – не делайте этого ни при каких условиях. Помните, крупные организации никогда не попросят вас выслать ваши логин и пароль по почте, любая такая просьба должна расцениваться вами как попытка кражи вашего аккаунта. Если у вас есть сомнения относительно того, является ли полученное сообщение мошенническим, лучше войти на сайт сервиса, так, как вы всегда в него входите – введя его адрес в адресную строку браузера вручную, или, возможно, выбрать вкладку в избранном. Только попав на сайт, в подлинности которого вы уверены, можно войти в свой аккаунт и убедиться, что с ним нет никаких проблем. Если вам в почтовый ящик пришло сообщение от купонного сервиса о том, что вы купили купоны, которых вы не покупали, не открывайте это сообщение и тем более не скачивайте из него никаких вложений. Купонные сервисы зачастую отправляют купленные у них купоны в виде приложения к электронному письму. Если вы не покупали купонов на купонном сервисе, есть высокая вероятность того, что вложение может быть вредоносным. Если вы сомневаетесь, покупали вы этот купон, или нет, то вы всегда можете проверить это, войдя в свой аккаунт. До сих пор мы не фиксировали вредоносных вложений, подделанных под купоны. Тем не менее, мы призываем пользователей быть осторожными, поскольку предполагаем скорое появление таковых в спам-потоках: обычно на популярные новшества первыми реагируют спамеры, участвующие в партнерских программах, в том числе — распространители вредоносного кода. Спам в Рунете: 6 – 12 февраля 2012 г. "Лаборатория Касперского" Объем и тематические особенности спама Спам в Рунете продолжает циркулировать в прежних количествах. На позапрошлой неделе доля спама 78,6%, а на прошлой 78,7%. Как обычно, среди тематик спама первые места занимают предложения медикаментов, образовательных программ и недвижимости. Отметим, что тематика «Другие товары и услуги» неожиданно поднялась в нашем рейтинге до 4 места — за счет разнообразных предложений моторных масел, электронных сигарет и прочих мелочей. Вот TOP 10 тематик спама за прошлую неделю: Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты, товары и услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   25,9%   -5,8%   2   Образование   Реклама семинаров, тренингов, курсов.   22%   -2,5%   3   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   9,2%   +1,5%   4   Другие товары и услуги   0   6,2%   +5,1%   5   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,7%   Изменения незначительны   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   6,1%   -4%   7   Услуги по ремонту и благоустройству   Предложения по ремонту и отделке интерьера квартир и домов.   5,2%   +3,7%   8   Коллекции фильмов на DVD   Предложения купить фильмы или другую информацию на DVD.   3,8%   +1,5%   9   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,2%   +2%   10   Компьютеры и интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   2,1%   +1,2%   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012